Benutzerdefinierte Zugriffsebenen mit Tanium-Daten erstellen und zuweisen

In diesem Dokument erfahren Sie, wie Sie mit Tanium-Daten gerätebasierte benutzerdefinierte Zugriffsebenen erstellen und Ihren Organisationsressourcen zuweisen.

Hinweis

  1. Richten Sie die Integration von BeyondCorp Enterprise und Tanium ein.
  2. Sie benötigen eine der folgenden Identity and Access Management-Rollen:
    • Access Context Manager-Administrator (roles/accesscontextmanager.policyAdmin)
    • Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor)
  3. Informieren Sie sich über die Objekte und Attribute, die zum Erstellen der Ausdrücke in Common Expression Language (CEL) für benutzerdefinierte Zugriffsebenen verwendet werden. Weitere Informationen finden Sie unter Spezifikation für benutzerdefinierte Zugriffsebenen.

Benutzerdefinierte Zugriffsebenen erstellen

Sie können Zugriffsebenen mit einer oder mehreren Bedingungen erstellen. Wenn die Geräte der Nutzer mehrere Bedingungen erfüllen sollen (ein logisches UND von Bedingungen), erstellen Sie eine Zugriffsebene, die alle erforderlichen Bedingungen enthält.

So erstellen Sie eine neue benutzerdefinierte Zugriffsebene anhand der von Tanium bereitgestellten Daten:

  1. Rufen Sie die Seite Access Context Manager in der Cloud Console auf.

    Zu Access Context Manager
  2. Wählen Sie Ihre Organisation aus, wenn Sie dazu aufgefordert werden.
  3. Klicken Sie auf der Seite Access Context Manager auf Neu.
  4. Geben Sie im Bereich Neue Zugriffsebene Folgendes ein:
    1. Geben Sie in das Feld Titel der Zugriffsebene einen Titel ein für Zugriffsebene ein. Der Titel darf maximal 50 Zeichen lang sein und muss mit einem Buchstaben beginnen. Er darf nur Zahlen, Buchstaben, Unterstriche und Leerzeichen enthalten.
    2. Wählen Sie im Abschnitt Bedingungen erstellen in die Option Erweiterter Modus aus.
    3. Geben Sie im Abschnitt Bedingungen die Ausdrücke für Ihre benutzerdefinierte Zugriffsebene ein. Die Bedingung muss in einen einzelnen booleschen Wert aufgelöst werden.

      Informationen zu den verfügbaren Tanium-Feldern für Ihren CEL-Ausdruck finden Sie in den Tanium-Daten, die für Ihre Geräte erfasst wurden.

      Der folgende CEL-Ausdruck erstellt eine Regel, die den Zugriff auf die neuesten Comply-Scans nur von mit Tanium verwalteten Geräten ohne hohe Sicherheitslücken ermöglicht:

      device.vendors["Tanium"].is_managed_device == true && device.vendors["Tanium"].data["vulnerabilities.countHigh"] == 0.0
      Beispiele und weitere Informationen zur Unterstützung von Common Expression Language (CEL) und benutzerdefinierten Zugriffsebenen finden Sie in der Spezifikation für benutzerdefinierte Zugriffsebenen.
    4. Klicken Sie auf Speichern.

Benutzerdefinierte Zugriffsebenen zuweisen

Sie können benutzerdefinierte Zugriffsebenen zuweisen, um den Zugriff auf Anwendungen zu steuern. Dazu gehören Google Workspace-Anwendungen und Anwendungen, die durch Identity-Aware Proxy in Google Cloud geschützt sind (auch als IAP-gesicherte Ressource bezeichnet). Sie können den Anwendungen eine oder mehrere Zugriffsebenen zuweisen. Wenn Sie mehrere Zugriffsebenen auswählen, müssen die Geräte der Nutzer nur die Bedingungen in einer der Zugriffsebenen erfüllen, um Zugriff auf die Anwendung zu erhalten.

Benutzerdefinierte Zugriffsebenen für Google Workspace-Anwendungen zuweisen

Weisen Sie benutzerdefinierte Zugriffsebenen für Google Workspace-Anwendungen über die Google Workspace-Admin-Konsole zu:

  1. Klicken Sie auf der Startseite der Admin-Konsole auf Sicherheit > Kontextsensitiver Zugriff.

    Zu „Kontextsensitiver Zugriff“
  2. Klicken Sie auf Zugriffsebenen zuweisen.

    Eine Liste mit Apps wird angezeigt.

  3. Wählen Sie im Abschnitt Organisationseinheiten Ihre Organisationseinheit oder Gruppe aus.
  4. Wählen Sie die Anwendung aus, der Sie eine Zugriffsebene zuweisen möchten, und klicken Sie auf Zuweisen.

    Zuweisung der Zugriffsebene

    Eine Liste mit allen Zugriffsebenen wird angezeigt. Zugriffsebenen sind eine freigegebene Ressource von Google Workspace, Cloud Identity und Google Cloud. Daher können Sie in der Liste Zugriffsebenen sehen, die Sie nicht erstellt haben.

  5. Wählen Sie mindestens eine Zugriffsebene für die App aus.
  6. Wählen Sie Auf Desktop- und mobile Apps von Google anwenden aus, um die Zugriffsebenen auf Nutzer in Desktop- und mobilen Apps (und im Browser) anzuwenden. Dieses Kästchen gilt nur für integrierte Anwendungen.
  7. Klicken Sie auf Speichern und dann auf Zuweisen. Der Name der Zugriffsebene wird in der Liste der zugewiesenen Zugriffsebenen neben der Anwendung angezeigt.

Benutzerdefinierte Zugriffsebenen für mit IAP gesicherte Ressourcen zuweisen

Folgen Sie der Anleitung unter Zugriffsebene für mit IAP gesicherte Ressourcen anwenden, um benutzerdefinierte Zugriffsebenen für Ressourcen zuzuweisen, die mit IAP gesichert sind.